computerwoche.de

Archiv

Sicherheit im Netz

Spionage-Tools rücken ins Rampenlicht

11.02.2000
Trojanische Pferde stehlen herkömmlichen Viren die Schau. Insbesondere Spionage-Tools wie "Back Orifice" und "Netbus" erhitzen die Gemüter. Raimund Genes* lässt die Geschichte der Computerviren Revue passieren und schildert die neuen Gefahren und Trends.

Computerviren - schon die Erwähnung dieses Begriffs erzeugt Unbehagen. Doch die Bedrohung hängt stark vom Einsatzzweck des Rechners ab. Ein Heimanwender, der sein Gerät ausschließlich zur Textverarbeitung und zum Spielen verwendet, kommt selten mit Computerviren in Berührung. Anders sieht es aus, wenn dieser Nutzer per E-Mail mit anderen kommuniziert.

Wie effektiv sich Viren mittels Selbstversendung per E-Mail verbreiten können, zeigten "Melissa" und "Explore_Zip" im vergangenen Jahr. Nach Angaben der "Münchner Abendzeitung" vom 13.1.2000 kämpfte auch der Bayerische Rundfunk mit einem Trojanischen Pferd, das selbstständig pornografische Bilder verschickte.

Viren stärken das Ego ihres Programmierers, Trojanische Pferde können hingegen sein Bankkonto aufbessern, da diese Programme ideal für Spionagezwecke einsetzbar sind und teils kommerziell vertrieben werden.

Computerviren gibt es schon erstaunlich lang. Der Begriff tauchte bereits 1981 im Gespräch zwischen Professor Adlemann und Doktorand Fred Cohen auf. Cohen veröffentlichte 1984 seine Dissertation über dieses Thema. 1985 erschien dann in der Zeitschrift "Apples" der Quellcode zu einem Virus für den damals populären Apple II. 1986 veröffentlichten zwei pakistanische Softwarehändler den ersten Virus für MS-DOS namens "Pakistany Brain". 1989 traten dann die ersten polymorphen Viren auf, die die Entdeckung durch Antivirenprogramme erschwerten, indem sie sich bei der Infektion veränderten. Im Jahre 1990 kamen dann so genannte Virus Construction Kits in Umlauf, die es auch wenig erfahrenen Programmierern ermöglichten, im Baukastenprinzip neue Erreger zu kreieren. 1992 gab es die erste große Hysterie durch "Michelangelo", die ersten Makroviren wurden 1995 entdeckt und haben sich seitdem als erfolgreichste Virenart durchgesetzt.

Trojanische Pferde sind erst seit der Verwendung leistungsfähiger E-Mail-Systeme weit verbreitet. "Back Orifice 2000" zum Beispiel ist die Weiterentwicklung eines Spionage-Tools, das Ende 1998 entwickelt wurde und seitdem weltweit nachzuweisen ist. Da dieses Tool ohne Wissen des Users seinen Dienst verrichtet und sich effektiv zu verbergen weiß, kann man es als Trojanisches Pferd bezeichnen.

Besonders gefährlich an Back Orifice 2000 ist die Tatsache, dass sich selbst geschriebene Applikationen als Plug-in verankern lassen. Ebenfalls bedenklich ist die Veröffentlichung des kompletten Quellcodes. Damit können andere Programmierer den Code verändern, um zum Beispiel eine Entdeckung durch Antivirensoftware zu verhindern.

Dieses Tool hat anscheinend auch eine große deutschsprachige Fangemeinde, es gibt mittlerweile sogar eine deutsche Webpage zum Thema. Ein Auszug aus der Anleitung: "Dieses Tool, genauso wie jedes Werkzeug, das Du eventuell zu hause herumliegen hast, kann legitim genutzt werden oder es kann genausogut benutzt werden, um andere Leute zu verletzen.

Back Orifice lässt sich als Mail-Anhang einschleusenDu kannst einen Hammer nehmen und damit die Köpfe anderer Leute zertrümmern ... (Im Klartext heißt das: ) Hacker können damit hacken. Administratoren können damit ihr Leben ein gutes Stück einfacher machen. Administratoren, seid verantwortungsvoll mit diesem Tool. Endbenutzer, vertraut nicht jedem Typen auf dem Internet."

Der Back-Orifice-Server, der auf dem Rechner des "Opfers" installiert werden muss, lässt sich bequem als E-Mail-Attachment einschleusen. Zum Beispiel wurde innerhalb eines Unternehmens eine Nachricht mit Attachment namens Update.exe verschickt. In der E-Mail wurde mit Nachdruck darauf hingewiesen, unbedingt auf das beiliegende Attachment zu klicken, da es sich dabei um ein Update der Finanzsoftware handle. Danach konnten die Anwender, die das vermeintliche Update installiert hatten, ausspioniert werden.

Nach der Installation des Back-Orifice-Servers ergeben sich vielfältige Einsatzmöglichkeiten. So lassen sich Dateien kopieren und sogar alle Tastaturanschläge aufzeichnen. Damit werden alle Kennworteingaben mitgeschnitten.

Sehr interessant ist auch ein weiteres Tool namens "Netbus 2.10". Neben ähnlichen Möglichkeiten wie bei Back Orifice gibt es eine Funktion namens "Record Audio from Microphone". 90 Prozent der heutzutage ausgelieferten Notebooks enthalten ein Mikrofon. Geht man davon aus, dass viele solcher Geräte in der Chefetage stehen, eröffnet dies interessante Möglichkeiten.

Diese Tools gestatten es somit Laien, in Firmenstrukturen auf Daten zuzugreifen, die ursprünglich vor ungewolltem Zugriff geschützt sind. Bisher sind noch wenig Fälle bekannt, bei denen Firmengeheimnisse auf diese Weise nach draußen gelangt sind - aber das ist eigentlich nur ein Frage der Zeit.

Diese vielfältigen Bedrohungen stellen enorme Anforderungen an die Hersteller von Antivirenprogrammen. Konnte man 1994 noch davon ausgehen, dass ein Virus, der in Amerika auftauchte, Wochen oder Monate brauchen würde, um nach Europa zu gelangen, geht dies heute über E-Mail in Sekundenschnelle. So verbreitete sich Melissa, am Freitag, dem 26.3.1999 entdeckt, binnen drei Tagen weltweit, es wurden mehr als 100000 Computer infiziert. Die hierbei notwendigen schnellen Reaktionszeiten können nur global operierende Hersteller von Antivirenlösungen mit enormem personellem Aufwand erfüllen.

Die in den vergangenen Jahren durchgesetzte Praxis, ausschließlich Arbeitsplatzrechner abzusichern, ist heutzutage nur noch erfolgversprechend, wenn dieses Schutzsystem wöchentlich oder besser täglich aktualisiert wird. Deshalb bieten die Hersteller von Antivirenlösungen entsprechende Firmenlizenzen an, die diese ständigen Aktualisierungen mit vertretbarem administrativem Aufwand ermöglichen. Seit Melissa werden Virenschutzsysteme verstärkt auch auf den Mail-Servern verwendet, um ein Eindringen in das Intranet des Unternehmens gar nicht zuzulassen.

Neue Möglichkeiten innerhalb der Betriebssysteme halten die Hersteller von Antivirenlösungen und leider auch die Virenprogrammierer auf Trab. Bei Windows 98 und Windows 2000 wird der Windows-Scripting-Host automatisch mit installiert. Damit kann bereits das Lesen einer E-Mail die Ausführung des schadhaften Codes zur Folge haben. Das Anklicken eines Attachments ist nicht mehr nötig. Mit Sicherheit wird sich auch der verhängnisvolle Trend "Masse statt Klasse" in diesem Jahr bei den Virenprogrammierern fortsetzen. So genannte Script Kiddies verändern bekannte Makroviren minimal und fügen neue Funktionen hinzu. Dies ist dank der verwendeten Makrosprache, die auf Basic (Beginner''s All-purpose Symbolic Instruction Code) basiert, sehr einfach möglich. Der Trend zeigt sich auch in dem momentan beliebten Verstecken von Viren in selbst extrahierten Dateien, um die Erkennung zu erschweren.

Selbstverständlich ist auch mit einer weiteren Zunahme von Trojanern und Würmern zu rechnen. Der eingangs erwähnte Zwischenfall beim Bayerischen Rundfunk zeigt, dass die Programme immer heimtückischer werden, um die Aufmerksamkeit in den Medien zu erlangen und damit das Ego des Programmierers aufzuwerten. Beachtet werden müssen hier die eventuell strafrechtlichen Folgen, die unbeabsichtigt entstehen, wenn ein Trojanisches Pferd Bilder mit Kinderpornografie an Dritte schickt, die nicht beurteilen können, ob es sich dabei um ein gewolltes oder ungewolltes Versenden handelt.

Überschätzt wird die Bedrohung durch Computerviren also sicher nicht. Ein vernünftig implementiertes Antivirenschutzkonzept verhindert aber effektiv das Eindringen bekannter Erreger. Neue Malware, die beim Eindringen nicht erkannt wurde, lässt sich nach einer Aktualisierung der Schutzsysteme schnell und effektiv bekämpfen. Antivirenprogramme gehören heute zu den Standardprogrammen, die in den Unternehmen wie eine Büroapplikation bei jedem Rechner mit installiert werden.

* Raimund Genes ist Technical Director Europe der Trend Micro Deutschland GmbH in München

Was sind Viren?Der Oberbegriff "Computerviren" bezeichnet heutzutage eine ganze Gattung von Computerschädlingen, zu denen auch Trojanische Pferde und so genannte Würmer gehören. Viren brauchen Wirtsprogramme, um sich zu verbreiten. Trojanische Pferde sind Programme, die vorgeben, etwas Nützliches zu tun, im Hintergrund aber eine unerwünschte Tätigkeit ausüben. Mittlerweile werden auch solche Programme als Trojanische Pferde bezeichnet, die zu Spionagezwecken auf andere Rechner übertragen werden, ohne dass der Angegriffene davon etwas bemerkt. Würmer verbreiten sich ohne Zuhilfenahme eines Wirtsprogramms. Dies geschieht zum Beispiel durch selbstständiges Verschicken per E-Mail. Der Begriff "Malware" oder "Malicious Code" ist eine treffende Bezeichnung für die "elektronischen Quälgeister". Malware ist ein Thema, das Heimanwender weniger betrifft. Anders sieht es in Unternehmen aus, wo die Infrastruktur für ein sekundenschnelles Verbreiten von Malicious Code vorhanden ist. Wie eine Studie der renommierten International Computer Security Association (ICSA) zeigt, musste man Anfang 1999 von einer Infektion von 80 je 1000 Firmenrechner ausgehen.

Abb.: Anfang 1999 waren rund 80 von 1000 Firmenrechnern infiziert. Quelle: International Computer Security Association (ICSA)

Abb.: Die grösste Bedrohung geht derzeit von Makroviren aus. Trojanische Pferde sind auf dem Vormarsch. Quelle: BSI